調査日: 2024-11-27
Phalcon ランサムウェアと推定される侵害事象が確認されましたため、当該状況に関する調査結果と注意喚起を以下の通り報告いたします。
本マルウェアは「Phalcon」と呼称されており、感染したファイルの拡張子を「.Phalcon」に変更する挙動が確認されています。
本ランサムウェアの実行ファイルに関するコンパイル情報およびファイルプロパティを以下に示します。
ランサムウェアの動作特徴
本マルウェアはC++言語を基盤として開発されており、追加パラメータによって状況に応じたマルチモード動作をサポートしています。ミューテックス(Mutex)を利用した重複実行の防止策、およびWindowsタスクスケジューラへの登録による、暗号化処理が未完了の場合の再実行機構を備えています。暗号化完了後には、ランサムウェア実行ファイル自体およびシャドウコピー(Volume Shadow Copy)の削除機能も有しています。
<コマンドライン引数および内部で確認されたコマンド文字列>
<処理完了後に自己削除を行う内部コード>
感染結果と身代金要求
暗号化処理が完了すると、各ディレクトリ内に身代金要求ファイルとして「< PHALCON_RECOVER.txt >」という名称のファイルが生成されます。暗号化されたファイルは「< 元ファイル名.拡張子.Phalcon >」へとリネームされます。暗号化完了後、このテキストファイルが起動されます。
<感染結果(身代金要求ファイルと暗号化されたファイル)>
(本セクションは上記「感染結果と身代金要求」に統合済み。被害の具体的な内容は身代金要求ノートの内容に依存する。)
(※元のレポートに記載された特定の製品名「화이트디펜더」に関する記述を、一般的な防御機能として記述します。)
特定のセキュリティソリューションは、Phalconランサムウェアの悪性動作を検知し、暗号化処理が開始される前に影響を受ける可能性のあるファイルに対してリアルタイム自動復元機能を提供します。
<検知・ブロックメッセージ>
本マルウェアの挙動に基づき、以下の対策を強く推奨いたします。